Application de la révision des dépendances à travers une organisation

La révision des dépendances vous permet d’iIntercepter les dépendances non sécurisées avant de les introduire dans votre environnement. Vous pouvez appliquer l’utilisation de action de révision des dépendances au sein de votre organisation.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de l’organisation, gestionnaires de sécurité et membres de l’organisation avec le rôle d’administrateur

Dans cet article

À propos de l’application de la révision des dépendances

Les propriétaires d’entreprise et les personnes avec un accès administrateur à un référentiel peuvent ajouter la action de révision des dépendances à leur entreprise et à leur référentiel, respectivement.

Vous pouvez utiliser dependency-review-action dans votre référentiel pour appliquer les révisions de dépendance sur vos demandes de tirage. L’action analyse les versions vulnérables des dépendances introduites par les modifications de version de package dans les demandes de tirage et vous avertit des vulnérabilités de sécurité associées. Cela vous donne une meilleure visibilité de ce qui change dans une demande de tirage et contribue à éviter l’ajout de vulnérabilités à votre dépôt. Pour plus d’informations, consultez « À propos de la vérification des dépendances ».

Vous pouvez appliquer l’utilisation de action de révision des dépendances dans votre organisation en configurant un ensemble de règles de dépôt qui exigera que le flux de travail dependency-review-action passe avant que les demandes de tirage puissent être fusionnées. Les ensembles de règles de dépôt sont des paramètres de règle qui vous permettent de contrôler la façon dont les utilisateurs peuvent interagir avec les branches et balises sélectionnées dans vos dépôts. Pour plus d’informations, consultez « À propos des ensembles de règles » et « Exiger que les flux de travail passent avant la fusion ».

Prérequis

Vous devez ajouter action de révision des dépendances à l’un des dépôts de votre organisation et configurer l’action. Pour plus d’informations, consultez « Configuration de l’action d’évaluation des dépendances ».

Application de la révision des dépendances pour votre organisation

  1. Dans le coin supérieur droit de GitHub, sélectionnez votre photo de profil, puis cliquez sur Vos organisations.

  2. En regard de l’organisation, cliquez sur Paramètres.

  3. Dans la barre latérale gauche, dans la section « Code, planification et automatisation », cliquez sur Référentiel , puis sur Ensembles de règles.

    Capture d’écran de la page des paramètres d’une organisation. Dans la barre latérale, un lien intitulé « Ensembles de règles » est encadré en orange.

  4. Cliquez sur Nouvel ensemble de règles de branche.

  5. Définissez l’État de l’application sur Actif.

  6. Vous pouvez éventuellement cibler des dépôts spécifiques dans votre organisation. Pour plus d’informations, consultez « Choix des référentiels à cibler dans votre organisation ».

  7. Dans la section « Règles », sélectionnez l’option « Exiger que les flux de travail passent avant la fusion ».

  8. Dans « Configurations de flux de travail », cliquez sur Ajouter un flux de travail.

  9. Dans la boîte de dialogue, sélectionnez le dépôt auquel vous avez ajouté action de révision des dépendances. Pour plus d’informations, consultez « Prérequis ».

  10. Sélectionnez une branche ainsi que le fichier de flux de travail pour la révision des dépendances dans la boîte de dialogue améliorée.

    Capture d’écran de la boîte de dialogue Ajouter un flux de travail obligatoire. Vous devez spécifier un dépôt, une branche et un flux de travail.

  11. Cliquez sur Créer.